Katalog CVE

CVE-2026-26830

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Pakiet npm pdf-image w wersjach do 2.0.0 umożliwia wstrzyknięcie poleceń systemowych poprzez parametr pdfFilePath. Funkcje constructGetInfoCommand oraz constructConvertCommandForPage wykorzystują util.format() do interpolacji ścieżek plików kontrolowanych przez użytkownika w ciągi poleceń powłoki, które są wykonywane za pomocą child_process.exec().

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do nieautoryzowanego wykonania poleceń systemowych, co stwarza poważne zagrożenie dla bezpieczeństwa systemu. Atakujący może uzyskać dostęp do wrażliwych danych lub przejąć kontrolę nad systemem.

Rekomendacja

Zaleca się aktualizację pakietu pdf-image do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, należy przeprowadzić audyt kodu w celu zidentyfikowania i zabezpieczenia innych potencjalnych miejsc narażonych na wstrzyknięcia poleceń.

Oryginalny opis (angielski, źródło NVD)

pdf-image (npm package) through version 2.0.0 allows OS command injection via the pdfFilePath parameter. The constructGetInfoCommand and constructConvertCommandForPage functions use util.format() to interpolate user-controlled file paths into shell command strings that are executed via child_process.exec()

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS